PDF de programación - Restricción y evidencia Web 2.0

Restricción y evidencia en la Web 2.0

Miguel Suárez / Alfredo Reino
Symantec Iberia

Modelo de Negocio de Hoy

Web 2.0

Symantec 2008

2

Modelo de Negocio del Cybercrimen

Web 2.0

Symantec 2008

3

Los escenarios Ruso y Chino

Web 2.0

Symantec 2008

4

Informe de Amenazas en Internet

Incremento de la profesionalización y comercialización de los
atacantes.
Ejemplo: Uso de toolkits para phishing toolkits y MPack

Web 2.0

Symantec 2008

5

Informe de Amenazas en Internet

Los atacantes intentan comprometer entidades confiables como
Web sites conocidos para atacar indirectamente
Este período acaba con menos bots activos lo que indica que los
ataques tradicionales parecen ser menos efectivos que antes

Web 2.0

Symantec 2008

6

Los incidentes de seguridad modernos

• En el pasado cercano (y todavía en el presente), los incidentes de

seguridad son visibles. Incluso sin mecanismos de detección

– Virus
– Bromas
– Troyanos
– Gusanos (Flash-worms, Warhol-worms)

Web 2.0

Symantec 2008

7

Los incidentes de seguridad modernos

• Actualmente, la tendencia ha cambiado debido a:

– Aumento en complejidad de la tecnología
– Mayor número de “canales” de distribución/propagación

• Email, Web 2.0 / AJAX, Blogs, Twitter, Social Networks, SOAP, RSS, etc.

– Cambios en la motivación de los atacantes

Notoriedad y Fama

Afán de Conocimiento

Retos Personales / Grupo

Web 2.0

Symantec 2008

8

€
Evolución de la Web

Static HTML,

CGI

JavaScript,
Active Server

Pages

Flash,
Google,
MySpace

AJAX (’01),
Gmail (’04)

Princ. 90s

Mitad 90s

Final 90s

Princ. 2k

Evolución, Estandarización, Popularización de Tecnologías

WEB 2.0

• Totalmente interactiva
• Contenido generado por el propio usuario (blogs, wikis, etc.)
• Networking “Social”
• Plug-ins, extensiones, BHOs
• Aplicaciones online/offline en el cliente (Google desktop)

Web 2.0

Symantec 2008

9

Web 2.0

de manera colectiva
forman la próxima

generación de Internet – un

“Web 2.0 es un conjunto de
tendencias económicas,
sociales y tecnológicas que

medio distintivo, más

maduro y caracterizado por
una total participación del
usuario, más abierto y con
mucho impacto en la red.”

Fuente: O’Reilly

Web 2.0

Symantec 2008

10

Arquitectura web 2.0

Cliente

Presentación: HTML & CSS

Java script

Objetos XHR

Servidor

Base de datos

Recursos de aplicación

Servidor de aplicación

Transporte HTTP

Servidor web

XML/HTML

Web 2.0

Symantec 2008

11

Infraestructura

Cliente

Servidor

Web

Servidor de
aplicaciones

BBDD

Sonda

Sonda

Web 2.0

Symantec 2008

12

Vulnerabilidades

Código de APIs
Control de acceso: autorización y autenticación
Protocolos y algoritmos criptográficos
Validación de datos de entrada
Log y auditoría de la actividad
Sincronización de tiempos
Software base de soporte

•
•
•
•
•
•
•
• Gestión de errores
• Gestión de sesiones

Web 2.0

Symantec 2008

13

Vulnerabilidades

ASP.NET Misconfiguration: Creating Debug Binary
ASP.NET Misconfiguration: Missing Custom Error Handling
ASP.NET Misconfiguration: Password in Configuration File
Access control enforced by presentation layer
Accidental leaking of sensitive information through data queries
Accidental leaking of sensitive information through error messages
Accidental leaking of sensitive information through sent data
Addition of data-structure sentinel
Algorithmic Complexity
Allowing External Setting Manipulation
Allowing password aging
Alternate Channel Race Condition
Alternate Encoding
Assigning instead of comparing
Authentication Bypass by Alternate Path/Channel
Authentication Bypass by Primary Weakness
Authentication Bypass via Assumed-Immutable Data
Authentication Error
Authentication Logic Error
Authentication bypass by alternate name
Authentication bypass by spoofing
Behavioral Change
Behavioral Discrepancy Infoleak
Behavioral problems
Buffer Overflow
Buffer over-read

Buffer overflow
Buffer under-read
Buffer underwrite
Bundling Issues
Byte/Object Code
CRLF Injection
Capture-replay
Case Sensitivity (lowercase, uppercase, mixed case)
Catch NullPointerException
Channel and Path Errors
Cleansing, Canonicalization, and Comparison Errors
Code Correctness: Call to System.gc()
Code Correctness: Call to Thread.run()
Code Correctness: Class Does Not Implement Cloneable
Code Correctness: Double-Checked Locking
Code Correctness: Erroneous String Compare
Code Correctness: Erroneous finalize() Method
Code Correctness: Misspelled Method Name
Code Correctness: null Argument to equals()
Collapse of Data into Unsafe Value
Common Special Element Manipulations
Comparing classes by name
Comparing instead of assigning
Comprehensive list of Threats to Authentication Procedures and Data
Context Switching Race Condition
Covert timing channel

Web 2.0

Symantec 2008

14

Ataques

Absolute Path Traversal
Account lockout attack
Alternate XSS Syntax
Argument Injection or Modification
Asymmetric resource consumption (amplification)Blind SQL Injection
Blind XPath Injection
Brute force attack
Buffer overflow attack
CSRF
Cache Poisoning
Code Injection
Command Injection
Comment Element
Cross Site Tracing
Cross-Site Request Forgery
Cross-User Defacement
Cross-site-scripting
Cryptanalysis
Custom Special Character Injection
Direct Dynamic Code Evaluation ('Eval Injection')
Direct Static Code Injection
Double Encoding
Forced browsing
Format string attack
Full Path Disclosure
HTTP Request Smuggling
HTTP Response Splitting
Integer Overflows/Underflows
LDAP injection
Man-in-the-middle attack

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

Man-in-the-middle attack
Mobile code: invoking untrusted mobile code
Mobile code: non-final public field
Mobile code: object hijack
Network Eavesdropping
One-Click Attack
Overflow Binary Resource File
Parameter Delimiter
Path Manipulation
Path Traversal
Phishing
Relative Path Traversal
Repudiation Attack
Resource Injection
Reviewing code for XSS issues
SQL Injection
Server-Side Includes (SSI) Injection
Session fixation
Session hijacking attack
Setting Manipulation
Special Element Injection
Spyware
Traffic flood
Trojan Horse
Unicode Encoding

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

•

• Web Parameter Tampering

XPATH Injection
XSRF
XSS in error pages
XSS using Script Via Encoded URI Schemes
XSS using Script in Attributes

•

•

•

•

•

Web 2.0

Symantec 2008

15

Ataques

Cross--site scripting
site scripting
Cross

•
•

•

Ejecución de código JavaScript malicioso en el navegador del usuario
Se propaga mediante su inclusión en mensajes de correo electrónico o
en servidores web (por ejemplo en blogs)
Para el envío remoto de información utilizan
–
<img src=”http://www.google.com/search?hl=en&q=symantec+security&btnG=Google+Search”>

Embedded HTML Tags

–

–

JavaScript y Document Object Model

img[0].src = http://www.google.com/search?hl=en&q=symantec+security&btnG=Google+Search;

XmlHttpRequest

var req = new XMLHttpRequest();
req.open('GET', ' http://www.google.com/search?hl=en&q=symantec+security&btnG=Google+Search', true);
req.onreadystatechange = function () {
if (req.readyState == 4) {

alert(req.responseText);
}

};
req.send(null);

Web 2.0

Symantec 2008

16

Ataques

Inyeccióónn de de ccóódigodigo
Inyecci

•
•

El objetivo es la infraestructura de servidor
Busca normalmente el acceso indebido o la denegación del servicio
–
– Modificación de argumentos
–

XPATH injection

XML Poisoning

Interceptacióónn
Interceptaci

•
•

Interceptación de tráfico sensible
Redirección de sesiones
–
– Man in the middle

Sniffing

–

Web 2.0

Symantec 2008

17

Ataques

Cliente

Presentación: HTML & CSS

Java script

Objetos XHR

Transporte HTTP

Inyeccióónn
Inyecci

Servidor

Base de datos

Recursos de aplicación

Servidor de aplicación

Servidor web

Servidor de
aplicaciones

Web

XSSXSS

Sonda

BBDD

XSSXSS

Interceptacióónn
Interceptaci

Sonda

Web 2.0

Symantec 2008

18

Restricción. Contramedidas
preventivas

• Mejora de la Seguridad de los Clientes Web

– Mayor calidad
– Mejores y más eficientes mecanismos de seguridad
– Mayor control del usuario sobre conexiones
– Mejor control de acceso a terceros dominios
– Mayor visibilidad y control del usuario sobre conexiones en

background

Web 2.0

Symantec 2008

19

Restricción. Contramedidas
preventivas

• Mejora de la Seguridad de las Aplicaciones Web 2.0

– Mayor calidad del código y las prácticas de desarrollo
– Evitar la existencia de vulnerabilidades de:

Inyección de SQL

•
• Cross-Site Scripting (XSS)
• Vulnerabilidades de Formato de Cadenas
• Vulnerabilidades de Enumeración

– Autenticación y autorización
– Cifrado de información

Web 2.0

Symantec 2008

20

Restricción - Contramedidas
detectivas

• Detección de actividad anómala en el cliente

– Sistemas Ant-Fraude, Anti-Phishing
– Firewalls personales
– Host IDS en el cliente

• Detección de actividad anómala en la red

– Network IDS

• Detección de Actividad Anómala en la Aplicación

– Mecanismos de detección integrados en las aplicaciones

Web 2.0

Symantec 2008

21

La evidencia - El cliente

• “Histórico” del navegador web

– Sólo se registra la conexión inicial a una página, no las llamadas

realizadas por el código client-side (XMLHTTPRequest), por lo
que no es de demasiada utilidad.

• “Cookies” en el navegador web

– Evidencia de conexión a un “tercero” malicioso

Web 2.0

Symantec 2008

22

La evidencia - El cliente

• Logs de firewalls personales

– Dependiendo de la configuración, puede contener información

sobre cada una de las conexiones TCP y UDP realizadas por el
cliente.

• Logs de firewalls intermedios y perimetrales

– Información sobre conexiones TCP y UDP realizadas por el

cliente.

• Logs de proxies de salida

– Contiene evidencia de las conexiones r